间谍软件具有_间谍软件攻击

目录：

• 1、VT技术的VT作用
• 2、我的计算机中了木马病毒，中毒的位置在C:\WINDOWS\system32\A8E171\9F34CE.EXE，说是有这么个木马程序
• 3、请问explorer.exe是什么东西啊?

VT技术的VT作用

VT的目的

VT的目的是在尽可能最小化程序员痛苦的同时尽可能多的增加“virtualization holes”（虚拟化孔）。这种解决方案中，VT-X针对X86而VT-i针对Itanium，分别引入了一种新的模式针对不同的CPU.这里我们主要来看看VT-X，实际上VT-i的功能与VT-X有很多相同的地方。

这种新的模式被称为VMX，并且引入了一个虚拟化机监控器VMM运行于其中。它被设定在R0级别下，你可以认为是R-1级或者看成是在环的旁边运行。主机操作系统和所有的程序在VMX模式中运行，与此同时VMM运行在VMX根模式中。

任何一个运行在VMX模式下的操作系统，都拥有所有运行于非VT系统中的一般操作系统的功能和特性。它也处在R0级别中，与平常一样有权利处理每一件事情，而且并不知道有什么东西正在它的旁边运行。当情况得到授权，CPU进入VMX根模式，VMM就可以切换到其他一个运行在另一VMX实例的操作系统。这些切换被称做VM登录和VM退出。

VT技术所表现出来的不可思议的地方就在于它将从VMX模式到VMX根模式（或从VMX根模式到VMX模式）的登录和退出处理易于操作。一旦主机操作系统被涉及到，那它一定是独自处在自己的世界里的，你必须保存虚拟化世界的完整状态并当你返回时重新载入它。虽然在VT里还有很多事物要去处理，但它被设计为一项任务，所以客观地说它实际是一个简单而并不费力的进程。

因为每一个操作系统实例都在正确的位置运行，所以前面所提到的4个问题也就不存在了。相关联的工作区也不再需要，与此有关的系统开销没有了。这些能有效提高速度。但这些并非免费，只是付出的代价要少很多。

启动一个新的主机操作系统，你需为其留出一块4kB的存储区并将它传递给一个VMPTLRD指令。这块区域将用来存储该系统实例不被激活时的所有状态和重要Bit位。只要该操作系统实例存在，则这块区域一直有效，直到在其上运行一条VMCLEAR指令。这样就设立了一个虚拟化机实例。

如果你想要把控制权交给虚拟化机，你要么登录VMX非根模式或简单一点，运行VMX模式即可。这些提到的VM登录指令就是VMLAUNCH和VMRESUME，两者并没有太大的区别。VMRESUME指令只是简单地从刚开始已经初始化的4kB存储区里载入CPU状态，并把控制权交给主机操作系统。VMLAUNCH做的也是同样的工作，但它会启动一个虚拟化机控制构件VMCS，它包含一些设立VM的现场背后的记录，因为这需花费一些时间，所以人们尽量避免在并发登录时使用VMLAUNCH.

从这一点来看，主机操作系统开始了它的愉快之旅，尽可能地运转，毫无察觉是否有其他东西正在它的一旁运行。正如过去所计划的一样，它存在于自己的世界里，全速运行，或接近全速。唯一的问题是你如何打破这一切美好的景象而将它关闭到一边，以使得机器里的其他操作系统能真正运行。这就是VT技术所体现出来的复杂的一面——VMCS中一些特别的位映像。

这些位映像是一些32位的字段，每一个Bit位标志一个事件。如果某个事件被触发，则对应的Bit位被置位，CPU触发一条VM退出指令，并将控制权返还给运行在VMX根模式下的VMM.VMM可做任何想做的事，然后将VMRESUME指令传递给下一个操作系统，或刚离开的那个操作系统。这个被启动的操作系统同样很好地运行着，直到触发另一条VM退出指令。如此这样以每秒上千次的速度重复着。

什么能触发这些指令呢？它们可以是引脚信号、CPU、异常和页面错误这些平台事件，所有这些都会触发VM退出指令。VT技术的完美之处在于它有很强的适应性，另一个与此类似之处就是在调试程序中设置断点，你可在每个事件上都设置一个，或者一个也不设置，这都取决于你自己。

引脚信号事件要做的是当有一个内部中断或一个不可屏蔽中断发生时，则触发退出指令。而CPU事件，则是当你设置任意Bit位在某一字段，当相应的CPU状态接收到它时，则触发退出指令。虽然大多数指令需要去设置，但也有一些指令无条件地引发VM退出指令。这是在一个非常细小的层面上控制VM，允许每当你需要时登录和退出。

异常位映像也是一些32位的字段，每个Bit位标志每个32位指令地址的异常情况。如果Bit位被设定并有一个异常被抛出，它就会引发VM退出指令。如果Bit位是空的或没有异常，那么主机操作系统则继续它的快乐之旅，与平常一样。这是一种从VMX模式退出而进入VMX根模式的系统开销非常低的方法。

最后还有页面错误退出，它与异常退出十分相像，只不过它用两个32位字段来控制。这些字段内的Bit位对每一个可能出问题的页面错误代码进行映像，因此你可细心地从中挑选从哪里退出。同样，它也是基于很细小的层面，系统开销也很低。

在计算机里，VT工作在一个比传统的R0环更有特权的级别中。任何一个主机操作系统都可在没有改变的旧有架构下运行，并且不知道一个控制程序在控制它们。当遭遇到某些用户设置的触发器，控制权将被转交给运行在更高级别的VMX根模式上的VMM.因为这是一种被动触发事件，而不需被积极监视，因此系统开销降到了最低限。

VT技术使得安装和卸载那些比以往VM模式更稳定的运行环境变得简单。如果你需运行虚拟化系统，没有理由不用一个拥有Vanderpool功能的CPU去实现它，而软件虚拟化机会逐渐不被人关注。

这也许不错，但必须记得，这必须付出代价。每一次登录意味着建立4kB的存储区域，每一次退出要向这4kB存储区内写入数据。这看上去有些耗费过多，可与那些较老的方式比较，它的速度惊人地快。 通过在单个服务器上运行一系列的虚拟机，IT经理便有可能将各种运行环境整合在少数几台设备上。例如，许多企业专用、传统的应用环境，或与多数企业使用的操作系统不兼容的非标准应用环境。这可能需要采用专用硬件，并增加设备及维护成本，使原本紧张的运营预算更加拮据。有了英特尔虚拟化技术，便无需单一用途的硬件，从而资源使用更加高效。同样，通过采用虚拟化技术，无需附加硬件，即可实现分区的专用故障切换，从而提供了系统冗余。此外，通过允许管理员配置每个容器上的不同安全设置，虚拟化能够提供强大的安全支持。

就台式机而言，英特尔虚拟化技术支持在同一设备上进行不同的用途设置。例如，IT部门可使用独立分区（在后台执行更新和维护）设置最终用户系统。您甚至可在用户设备上设置单独的工作环境和个人环境，并针对每个环境指派不同的用户权限，以使其能够安装软件和控制系统。上述配置可以在增加灵活性的同时，使企业资源免遭病毒和间谍软件的攻击。对互联网连接分区的操作同样也在受限权限下，这能保护其免受外部攻击，同时，您还能以 Administrator （管理员）身份运行一个单独的虚拟机，以执行系统中的限制性任务。 纯软件虚拟化解决方案在为 IT 部门和最终用户提供巨大优势的同时，也有较大的局限性。每个客户操作系统很大程度上通过 VMM与硬件进行通信，VMM 为系统上每个虚拟机调解访问。（注，许多到处理器和内存的访问独立于 VMM之外，而只有当诸如页面错误这样的事件发生时才会涉及到 VMM。）在纯软件虚拟化解决方案下，VMM在操作系统原先运行软件堆栈的空间内运行，而操作系统则在原本运行应用的空间内运行。

这一额外的通信层需要二进制转换，并通过提供到处理器、内存、存储、显卡和网卡等物理资源的接口来仿真硬件环境。这种转换必然增加系统的复杂性。此外，对客户操作系统的支持受到虚拟机环境的限制，虚拟机环境性能会妨碍诸如 64位客户操作系统等某些技术的部署。对于管理员而言，随着软件堆栈复杂性的增加，纯软件解决方案下的这种环境就更为复杂，这就增加了保障系统可靠性和安全性的难度。 虚拟化技术大概可以分为以下四类：

硬件仿真

完全虚拟化

半虚拟化

操作系统级的虚拟化

硬件仿真：最复杂的虚拟化实现技术就是硬件仿真，在这种方法中，可以在宿主系统上创建一个硬件 VM 来仿真所想要的硬件。使用硬件仿真的主要问题是速度会非常慢，因为每条指令都必须在底层硬件上进行仿真。但是使用硬件仿真，您可以在一个 ARM 处理器主机上运行为 PowerPC设计的操作系统，而不需要任何修改。硬件仿真的产品有Bochs和qemu。

操作系统级的虚拟化：这种技术在操作系统本身之上实现服务器的虚拟化。这种方法支持单个操作系统，并可以将独立的服务器相互简单地隔离开来。比如Virtuozzo。好像应用不是很多？

而市面上主要的产品都是完全虚拟化或者半虚拟化的。

完全虚拟化(full virtualization)：这种模型使用一个虚拟机，它在客户操作系统和原始硬件之间进行协调。协调在这里是一个关键，因为 VMM 在客户操作系统和裸硬件之间提供协调。特定受保护的指令必须被捕获下来并在 hypervisor 中进行处理，因为这些底层硬件并不由操作系统所拥有，而是由操作系统通过 hypervisor 共享。虽然完全虚拟化的速度比硬件仿真的速度要快，但是其性能要低于裸硬件，因为中间经过了 hypervisor 的协调过程。完全虚拟化的最大优点是操作系统无需任何修改就可以直接运行。惟一的限制是操作系统必须要支持底层硬件。

完全虚拟化又分为传统的和硬件辅助的。传统的完全虚拟化，虚拟机运行在操作系统之上，虚拟机管理程序本身运行在cpu的Ring 0，虚拟的Guest OS则运行在Ring 1（为了避免Guest OS破坏Host OS，Guest OS必须运行 在低于Ring 0的权限）。但是这样一来Guest的兼容性会受到影响，并且原来Guest OS要在Ring 0上执行的指令都必须经过hypervisor翻译才能运行，速度会有所下降。而硬件辅助的完全虚拟化需要cpu硬件支持，有intel的VT和AMD的 AMD-V两种技术，只有支持这两种技术的cpu才可以使用。硬件辅助的虚拟化把虚拟机管理程序本身放到比Ring 0还低的模式运行（比如Ring -1），而把Guest OS放到Ring 0，这样兼容性得到了提高，不过因为第一代硬件虚拟技术(VT和AMD-V)实现上还不够成熟，所以效率上并不比传统的完全虚拟化更高（只能是某几方面高某几方面低）。传统的完全虚拟化技术已经发展了多年，其开发比较复杂，以前的技术一般都是为x86开发的，对于x64不好用，x64上有了VT和 AMD-V之后，估计厂商已经不愿意再花力量为x64开发传统的虚拟机了，所以想要运行64位的Guest OS，都需要VT或AMD-V的支持（）。

半虚拟化(para virtualization)：半虚拟化可以提供极高的性能，它与完全虚拟化有一些类似。这种方法使用了一个 hypervisor 来实现对底层硬件的共享访问，还将与虚拟化有关的代码集成到了操作系统本身中。与硬件辅助的完全虚拟化有一点相似是hypervisor运行在Ring -1，而Guest OS运行在Ring 0上。但是半虚拟化有一个缺点是必须修改客户操作系统，因为半虚拟化为了提高效率，必须要让Guest OS本身意识到自己运行在虚拟机上，所以在Guest OS的内核中需要有方法来与hypervisor进行协调，这个缺点很大的影响了半虚拟化技术的普及，因为Linux等系统可以修改，而其它不能修改的系统就不能用了。

我的计算机中了木马病毒，中毒的位置在C:\WINDOWS\system32\A8E171\9F34CE.EXE，说是有这么个木马程序

你就别用卡巴了，我以前也是遇到你这种问题。我现在装了NOD32杀毒软件，杀毒效果非常好，而且不占太多内存！这是网址，现在搞活动试用半年的！要骗你是小狗！这是官网！

ESET NOD32防病毒软件概述

为了保证重要信息的安全，在平静中呈现极佳的性能。不需要那些庞大的互联网安全套装，ESET NOD32就可针对肆虐的病毒威胁为您提供快速而全面的保护。它极易使用，您所要做的只是：设置它，并忘记它！

全面的保护

单独地运行病毒、黑客软件、广告插件和间谍软件的防护程序会拖慢您的计算机，并难于进行管理，必将带来安全问题。小心那些臃肿的互联网安全套装，它会占用您计算机数百兆的空间。它们的存在是因为商家把现有的产品捆绑在一起。相反， ESET NOD32则设计了一个高效的内核，作为一个单独的、高度优化的引擎，提供统一的安全保护，防止不断的更新病毒、蠕虫、间谍程序的恶意攻击。ESET NOD32拥有先进的ThreatSense ®技术（专利申请中），可通过对恶意代码进行分析，实时侦测未知的病毒，让您时刻走在病毒编写者的前面。

最小的影响

ESET NOD32节约内存和硬盘上的资源，让它们为更重要的应用服务， 本软件只有11M，平均占用23M的内存(根据检测状态会有变化)。Threatsense ®每次更新（包括启发式逻辑和病毒特征码）通常都只有20KB到50KB左右。选择ESET NOD32将更加有效。

最快的扫描

强大的安全防护绝不拖慢计算机。ESET NOD32是用大量的汇编语言编写而成，因其最快的侦测速度和高效的查杀能力而连续地获奖，平均比其竞争对手快3到34倍（源自: Virus Bulletin)。选择ESET NOD32可提升您的计算机性能。

简单的管理

ESET NOD32会自动进行自我更新，如果您是个人使用或是家庭办公的话，您根本不用去管理它。对于大型企业，我们提供了强大的远程分布式的网络管理，管理员可以集中部署、安装、监测和管理成千上万的ESET NOD32工作站和服务器。 最小影响和最快的速度可以得到的最好的保护。ESET NOD32能够多层次地保护你的组织，在桌面、文件服务器和邮件网关。都能为您提供最佳的解决方案。

启发式实时侦测

启发式是最有效的安全保护，病毒程序的防护必须要在其对计算机造成影响前实时地进行。那些时刻等待着病毒特征库更新的防毒软件会给攻击打开一扇窗，稍不留神就有可能给您造成灾难性的后果。ESET NOD32则凭借其ThreatSense ®技术，将会关闭这扇窗，而不像大部分依靠特征库更新的防毒软件。

请问explorer.exe是什么东西啊?

explorer.exe - explorer - 进程介绍

进程文件： explorer or explorer.exe

进程名称： Microsoft Windows Explorer

进程类别：其他进程

英文描述：

explorer.exe is the Windows Program Manager or Windows Explorer. It manages the Windows Graphical Shell including the Start menu, taskbar, desktop, and File Manager. By removing this process the graphical interface for Windows will disappear. Note:

中文参考：

explorer.exe是Windows程序管理器或者Windows资源管理器，它用于管理Windows图形壳，包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。注意：explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播，当你打开病毒发送的附件时，即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。该进程的安全等级是建议删除。

出品者：Microsoft Corp.

属于：Microsoft Windows Operating System

系统进程：Yes

后台程序：No

网络相关：Yes

常见错误：N/A

内存使用：N/A

安全等级 (0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

下面是可能的几种EXPLORER.EXE出错的情况

1. 软件问题（特别是右键第三方加载项）

安装清华紫光输入法3.0版本有的时候会出现explorer.exe出错，取消清华紫光输入法，用其他输入法输法如果没有问题，可以判断为输入法问题。卸载清华紫光输入法，即可解决。

清华紫光输入法4.0版本未发现类似问题。

苹果美化版的rar惹的祸，把它卸载了暂时就没有这个错误了，你也可以看是不是安装了苹果美化版的rar，有的话，也可以卸载了来看一下,装了酒精120%或者酒精52%虚拟光驱，在的系统中很容易出现explorer.exe错误。卸载有时候会解决问题

2. explorer.exe程序本身的原因

检查explorer.exe的文件大小，正常情况下应该显示为237k或者238k，如果大小不一致，可以从别的机器上拷贝一个explorer.exe文件到本机，调用任务管理器，接入explorer.exe进程，然后新建任务拷贝新的文件到系统盘\WINNT目录下。

3. 可能为病毒原因（wc98pp.dll）

网络协议处理器 - 电子书编译工具Web Compiler相关。

wc98pp.dll文件本身并没有影响，很多计算机上都有此文件，但是当explorer.exe出错的时候，删除此文件可以解决问题，然后从注册表中搜索相关键值删除。

usign.dll，有人提到这个文件与wc98pp.dll两个文件类似，删除这两个文件可以清除IE中不断跳出小广告。在公司的计算机中未发现此文件。

4. 其他原因

计算机运行某个程序等待时间过长，比如读取数据，尤其是光盘或者外界设备的数据的时候，也会出现explorer.exe出错，提示与上面的情况相同。

5. 系统内核错误

此类情况我暂时无法解决，重新安装系统。

6.内存问题

有人通过更换内存,解决了这个问题,所以这应该是个原因,不过如果这个出问题就比较麻烦了,所以先考虑前面几个原因

7.windows升级造成的

大家都知道我们用的是盗版xp,既然是盗版的,肯定会出现各种各样的错误.微软也不是sb,肯定会搞一些问题来惩罚我们,所以建议大家不要上网自动更新,并且把自动更新关掉(实际上这个更新没p用)

下面是从网上搜索到的一些关于此烦人错误的资料及解决方法

1.第三方加载项的问题

我以一般的途径从遇到explorer错误的人们得到信息。通常他们都这么叙述:" 当我在资源管理器中右键点击一个文件时系统提示explorer遇到错误需要关闭"或"当我尝试浏览文件夹的时候,我收到系统提示 xplorer遇到错误需要关闭" 。 通常，这些错误是由于第三方加载项没有正常工作所引起的 这些加载项负责创建一些选项当你在资源管理器右键点击一个文件时。一些第三方程序会添加他们自己的选项到这些菜单，而这有些时候会出现问题 如果你仔细看下面的图片，你会发现几个非常规的选项在这个右键菜单上： "Send to Fax Recipient"，"Scan with Norton Antivirus", "TextPad" 和 "Winzip"。

如果想尝试寻找引起explorer错误的第三方加载项，你需要下载这个工具：ShellExView，它会允许你查

看和禁用加载项 解决办法：当你下载并运行它以后，ShellExView会显示出所有的安装在你的电脑上的加载项。你可以分类排序使所有第三方加载项示在一起。然后，选择所有第三方加载项并禁用它们，并试着执行以前导致错误的操作（比如右键点击一个文件或浏览一个文件夹等等）如果没有错误提示，就说明你所禁用的一个加

载项造成了explorer错误。接下来，通过每一次启用一个加载项并尝试之前引起错误的操作就可以找出引起错误的第三方扩展了ShellExView会显示出加载项的所有的额外信息, 比如版本号、公司名称。如果你希望继续使用致使

explorer出错的加载项，请检查他的更新版本或联系他的客户支持

explorer出错的另一个原因是因为机器里内含病毒、木马或间谍广告程序。想检测电脑里存在的病毒请使

用专业的程序，比如江民、瑞星等杀毒软件；检测电脑里存在的间谍软件，我推荐下列程序：Microsoft

Windows AntiSpyware (Beta)、Lavasoft's Ad-Aware、Rose City Software's Spyware Medic或者Spybot's Search Distroy。

ShellExView这个软件在附件里面有提供.

2.一些关于此问题的中文知识库文章

在“地址”框或“打开”框中键入地址时出现错误消息 桌面是白色的并且错误信息报告 Browseui.dll 中有“Windows 资源管理器”错误

错误信息：Explorer Caused an Invalid Page Fault in Module Browseui.dll（资源管理器导致模块

Browseui.dll 中出现无效页面错误）

错误信息：Error Loading Explorer.exe You Must Reinstall Windows（加载 Explorer.exe 时出现错误，必须重新安装 Windows)

查看“我的电脑”中的内容时 Windows 资源管理器退出

在试图映射网络驱动器时 Windows 资源管理器退出并生成错误信息

尝试安装 Windows 2000 Service Pack 3 时出现错误信息“Explorer.exe Has Generated Errors and

Will Be Closed By Windows”（Explorer.exe 发生错误，将被 Windows 关闭）

在关闭某个文件夹时，Explorer.exe 可能会生成一个应用程序错误

尝试打开“网上邻居”时收到“Windows Explorer Has Encountered a Problem and Needs to Close”

（Explorer.exe 发生错误，将被 Windows 关闭）错误消息

右键单击文件时出现错误信息，或是当在 Autodesk 或 Discreet 产品中打开某些文件时发生问题

在 Windows XP 中试图打开“网上邻居”或“共享文档”时，“我的电脑”和 Windows 资源管理器意外退出

Explorer.exe 在 Windows XP 中反复意外退出

3.怎样避免

使用Windows XP时间比较长后，有时运行会很不流畅，甚至会不响应鼠标键盘对操作。很多时候是系统的假死。和真正的死机不同，假死完全可以被“救活”。假死的根源在于explorer.exe(整个图形界面的驱动)。既然会假死，那就一定有解决方法，下面就为朋友们介绍一些拯救系统假死的方法。

第一招:当使用资源管理器打开新文件夹或用浏览器打开新页面不响应时，用“Win+D”或单击快速启动栏的显示桌面按钮，再在桌面上按F5或右键刷新即可。一般刷新3-5次后再把资源管理器或浏览器窗口还原就会恢复正常了。

第二招:这一招很灵，能对付大多数假死的情况。当任务管理器都打不开时，先把光驱弹出之后再弹入(千万不要在光驱里放光盘)，鼠标指针旁会出现一个小光盘标志，这时就会唤起系统的知觉，这招可是屡试不爽!

第三招:最后的杀手锏，用组合键“Ctrl+Alt+Del”启动任务管理器，然后在“进程”选项卡中结束explorer.exe，整个桌面只剩一张壁纸，桌面图标和任务栏都没影了，然后在任务管理器的“文件→新建

任务”中输入explorer.exe，即可恢复正常。这一招还可释放内存资源，一举两得。

照下面的方法可以明显减少假死可能性:

能不用右键菜单的时候就尽量不用，尽量使用热键如用F2重命名、用F5刷新等。Windows Media

Player最好不用可视化效果，用了往往会卡机。真想用的话，微粒是最不容易卡机的，建议用“微粒”可视化效果。不要轻易使用内存整理软件，往往会越整理系统速度越慢。如果真想释放系统资源，注销当前

用户再重新登录是最好的方式。说了这么多，大家也不妨试试这些方法。

4.有人提出的一个方法

关于EXPLORER.EXE出错解决方法，大家试试

把如下内容做成批处理文件，执行一下。explorer的问题基本上可以解决。

del c:\winnt\wc98pp.dll del c:\windows\wc98pp.dll

regsvr32 actxprxy.dll /s

regsvr32 shdocvw.dll /s

regsvr32 mshtml.dll /s

regsvr32 urlmon.dll /s

regsvr32 msjava.dll /s

regsvr32 browseui.dll /s

标签：间谍软件攻击